Tweet・サイバー犯罪で官民連携 警視庁、専門家に再委嘱|47NEWS(よんななニュース) ・CISA’s [...]
The post 第237回 んあぁ?!スペシャル! first appeared on podcast - #セキュリティのアレ.
サマリー
警視庁のサイバーセキュリティアドバイザーが再赴任したことについて、2年前の取り組みと今後の計画が語られています。また、リードス攻撃に関するコストの問題や対策サービスの現状についても議論されています。第237回のエピソードでは、CISAが公開した脆弱性開示ポリシーに関する年次報告が取り上げられています。特に、DDoS攻撃やクロスサイトスクリプティングなどのセキュリティ脅威に対する取り組みや、バグバウンティプログラムの支援が議論されています。 CUPSの脆弱性に関するエピソードでは、DDoS攻撃にこの脆弱性を活用する方法が考察され、攻撃者が利用可能なサーバーの数や増幅効果についても詳しく議論されています。今後のエピソードでは、DDoS攻撃の脅威やCUPSの古いバージョンが多くのサーバーで使用されている理由が考察されています。また、ベライゾンのDBIRレポートに基づきデジタルセキュリティの現状にも言及されています。 新入経路の分析や脆弱性の悪用に関する報告を通じて、セキュリティの現状と問題点が考察されています。特に人的要素やサプライチェーンが大きな影響を及ぼし、脆弱性管理における課題が浮き彫りにされています。今回のエピソードでは、企業が直面するセキュリティの現状や、ベンダーとの対応の課題についても議論が行われています。業務委託やIoT製品のセキュリティ状態についても触れ、関連するレポートの重要性が認識されています。
再赴任と取り組み
スピーカー 1
2年ぶりにやってきましたよ、また。 警視庁のサイバーセキュリティアドバイザー、再移植されてまいりました。
おめでとうございます。おめでとうかどうかちょっとわからないですね。 あれ2年間人気なんで、また2年間頑張るぞ、言うてね。
久しぶりにまたスーツ着て。 そうよ。そのためにまたスーツ買って。 そういう時くらいだもんね。買う機会ないじゃないですか、普段。
2年前とはいえ、あの2年前から僕スーツ1着も買ってないから。 だから同じのを着ていくのもちょっと嫌でしょ。
なるほど。言うてそんなに着る機会があるわけでもないからな。 そうそうそう。だから2年に1回ぐらいだったらまあいいかみたいな。
でちょっと色味も違うやつを買ってね。それを着て行ってきました。 いやなんか結構ね、あの移植式とはいえ、移植しまーす、移植されまーすみたいな感じだけじゃないんですよ。
前回は記者の方とかも来られるんで、もちろん。 なんでミニミニセミナーみたいなやつやるんですよ。
前回はさ、これ初めてだったじゃないですか。 なんでその実績みたいな話とかせずに、自分はこんな仕事してるんです、こんなこと調べてるんです、みたいな話を
したんですけど、今回はね、この2年間の取り組みとか。 あとは今後こういうこともしていきたいとか、あとなんかこうちょっと感じた課題とか。
なんかいいね、らしい感じになってるね。 移植式らしい、かつ辻らしからぬみたいなことがあるんですけれども、そういう話をしてきた。
スピーカー 2
よくよく考えたら、このポッドキャストでもこんなことしてるんですよ、みたいな話とかしてもいいかなとは思うんですけどね。 まあまあまあそうね。
そう、ならでは感というかね。 確かに。 機会を作ってね、できればなと。 そうね、たまにはそういう紹介もお願いします。
また2年間頑張りますわ。 そっか、頑張ってください。 頑張ってくださいって。
いやいや違うやんか。あるやん。 何が? 湯沢があるやん。 そうねもう来週だね。湯沢もそういえば2年ぶりだね。
スピーカー 1
本当だよ、確かにそうやわ。 2年前行って車座やって以来ですね。やったやった確かにそうですね。
なんで今回はね、ほらこのアドバイザーの警視庁の一環じゃないですけど延長というか繋がりというかで、今回はねあの僕ら3人に加えて
スピーカー 3
警視庁1号、2号みたいな。 紹介なってましたよね、ウェブサイトみたいな、なぜか。
スピーカー 1
そうそうそう、そういう企画もある。もしね、どうなんすかね、このポッドキャスト聞いてる人で、湯沢にも行き回すみたいな人いんのかな?
まあいるんじゃない?それは。 そうな雰囲気はありますが。 まあね、いたらね、あの現地、ちゃんとステッカー持っていっておこうか。
確かに確かに。 100枚ぐらい持って行ったほうがいい? 100枚もないんやって、そんな元々。
100人来たらどうすんのよ。 本当ですよ。 終わりやで、また発注せなあかんことになるから、それはちょっとやめてほしいねんけど。
スピーカー 2
でもなんかね、それはそうと、でもね、あの前回ね、そんな言うほどくださいってけえへんかって。 まあまあ確かにそうか。
スピーカー 1
置いとこうかな、その辺に。 いやーそれはどうなの? ごそっと持ってかれますね。 ミスナーじゃない人も持って行っちゃうかもしれない。
スピーカー 2
それは良くないですよね。 それは良くない。聞いてます?って言ってくれた人じゃないと。だって普段はさ、お便りくれた人に送っているものをさ。
湯沢イベントの準備
スピーカー 1
確かに。 しかもスペシャル仕様のやつですからね、あっちはね。 一応ね、聞いてくださってる人に優先したいというか。
確かに確かに。 じゃああれかな、セキュリティのあれのポッドキャスト、247回を聞きましたみたいな。
247回目やってないよ、37回。 また間違えた、また10回間違えた。
スピーカー 2
なんで10回間違えるの? そう、お便りでも指摘されたんですけど、ある時からね、僕のエヴァノートでしゃべる内容をまとめてるやつが10回飛んどるんですよ。
ああそういうことか、なるほど。 そうそうそう、だから逆に247回聞きましたって言った人にあげましょか、ステッカー。
スピーカー 1
それ聞いてへんわ、やってへんわ。 まだやってへんわ、じゃあはいステッカーみたいな感じでね、差し上げられるんじゃないかなと。
まあぜひぜひ現地でね、お会いできれば。 そうですね、ということで今回もお便りが、お便りが来ております。
ありがとうございます。 はい、カスペルスキーの件あったじゃないですか、ウルトラAVに強制リプレイスされるやつ。
スピーカー 2
はい、ありましたね、本当びっくりしました。 そうそうそう、強制BCC以来のびっくりやなと思いながらね、聞いてたんですけど。 あったで、そんなの。
スピーカー 1
ありましたよね。 あった、懐かしい。
それがね、入れ替わってるっていうのの話を聞いて思い出したことということで、7月のクラウドストライクの件ではまず悪用が頭に浮かんでビビったと。
で、あとは疑わしいファイルも入れられるってことは、外部によるEDR監視は信頼できないとお願いできないなと思いましたということですね。
スピーカー 2
そうね。 その辺はだから難しいんだよね。
クラウドストライクの件もさ、そういう高い権限で動いてるから障害になった時に大変なことが起きるみたいなのは、まあそれは前から言われてた話だし。
あとその、まあ今回のはちょっと極端だけど、違うソフトウェアに置き換わっちゃったみたいな極端だけど、
割とそのインストールされているマシーンの中で何でもできるは言い過ぎだけど、結構いろいろできるっていうことは、まあそれはね以前から言われていた話で、
スピーカー 1
その陰謀論的なやつだと、それこそカスペル付きなんか結構前から批判されててさ。 まあそういう知性学的なね。
スピーカー 2
そうそう、実際は違うのに彼らはそのインストールされたやつを結構その、何いろいろ調べて好き勝手やっていいんじゃないかみたいなことを結構言う人がいるわけよ。
まあそうですよね。 それはまあ技術的には確かに可能は可能だけど、可能だからやるかって言ったらそれはまた別問題なわけで。
まあその辺は確かにね、でもそのとはいえ今々はなかなかその、そういうね性格的なとかいろんなリスクがあって、
使えないとか、まあ本当はそんな別にリスクはないかもしれないけど、まあでもっていうふうなのはあるからね。
スピーカー 1
そうですね。高い権限で動いているというか、高い権限で動かさんとしゃーないもんってのもありますよね。
スピーカー 2
だからその辺はだからね、仕組みである程度できる部分もあると思うけど、
なんていうかトレードオフ的な部分もやっぱあるよね。あるあるある。 だからさっきねそのお便りでその外部にもし委託するならてんてんって言ったのはまさに本当その通りで、
それこそその穿った見方をすればさ、信頼できると思っていたそのパートナー企業の人が変なことをやる可能性もないわけじゃないから。
もちろんもちろん。 とかそのこういうことはないかもしれないけど、例えばね業務委託に入っている人がとかさ、
孫受けの人、下受けの人がなんかやっちゃったとかっていうことは、まあ実際その別の場面とかではそういう事例とかでもあるわけで。
スピーカー 1
内部情報漏洩的なやつとかね。 そうそうとかね。いい奴はキリがないんだよね。 そうそうそうなんですよね。だからこの
製品そのものがどうかというよりもね、なんかこう監視してもらっているところが大丈夫かみたいな、そのサプライチェーン的な心配もあるじゃないですか。
ああそうだね。 例えばRMM系のさ、ツールとかが乗っ取られて、昔あったじゃないですか、カセヤのVSAを使ってるところがやられて、その顧客が影響を受けたっていう。
ランサムウェアは一斉に感染したってあったもんね。 そうそうリビルでしたっけね、その時ね。そういう風なリスクもあるってことですよね、踏まれた時のっていう。
スピーカー 2
標的型攻撃でもさ、マネージドサービスプロバイダーを経由して侵入しましたみたいなのが以前、何だっけ、APT10か何かだっけな、忘れちゃったけど。
リードス攻撃のコスト問題
スピーカー 2
あれですね、クラウドホッパーですかね、APT10ですね。 あれ以来結構それは上等手段っていうか、そういうところを狙ってみたいなのはよく聞く話なので、
そういうのは何か、利便性と合わせたそういうリスクも一緒に考えなきゃいけないっていう感じだよね。
こういうのって起きてみな分かれへんこともあるし、 信頼できるのかどうかなんていうところって結構難しいじゃないですか。
スピーカー 1
だからって言って、こういう風な製品が止まった時とか使われようになった時のためにもう1個同じ製品入れとくとか、そんなんもできないじゃないですか。
確かにね。 そうそうそう、だから悩ましい問題やからなっていうのはありますけどね。
スピーカー 2
何も受けなければ全く心配しなくていいけど。
スピーカー 1
可能性は低いとはいえリスクとして考えておく、頭の中に入れておくところが大事かなと思いますよね。
そうですね、それは大事ですね。
それに引き続きですけれども、OSに近い場所で動作するソフトが悪意のある企業に買収されて、同一名称でサービス継続されて、
しかも買収企業がバックに国が付く企業だったりとかすることを考えると怖いですね。
スピーカー 2
その辺も買収とか、もうちょっとちっちゃな話で言えばさ、よくあるのはブラウザーの拡張機能だったり、
そういうやつで開発継続できないから他の人に売ったら、ある日突然それがマルになっちゃったみたいなさ。
スピーカー 1
情報収集する機能がついてとかね。
スピーカー 2
そうそうそう、そういう話はいくらでもあるからね。
スピーカー 1
あるある、拡張とかキーボード系とかもそうかな、入力系のやつね。
身の回りに入り込んでいるソフトウェアとかそういう目で見ると、いつ何時それがマリシアスなものに置き換わったらって考えるとちょっと怖いけど、
スピーカー 2
かといってそういうのに全く依存せずに普段生活するとかお仕事するって無理じゃない?
だからね、それもそういうのをリスクとして考えながら、そういうことが起きないようにとか起きた場合にすぐ気づけるようにっていうふうに考えるしかないんだろうなぁ。
スピーカー 1
これも難しい問題ですよね。
最後のお便りなんですけれども、
一般的な企業ではリードス攻撃は回線業者による遮断か、CDN業者による遮断が良い気がしています。
専門のリードス攻撃対策サービスも良いものだと思いますが、そこに支払う費用が厳しいと思ってしまいます。
スピーカー 2
おっしゃる通りですね。耳が痛いですね。
スピーカー 1
これ多分7000万人ぐらいがこんなことを思っているんじゃないかな。日本国内の。
半分以上が思っているんじゃないかな。
スピーカー 2
本当おっしゃる通りで、攻撃側のコストに比べても防御する側の対策のコストっていうのがもうべらぼうに高いから、
くらいぼうにならないからね。防げはする、今お便りにあったような対策サービスだとか、各種いろいろアプライアンスだとかいろいろあるし、
CDNのサービスもピン切りだけどさ、お金かければそれなりにちゃんと防いでくれるところはいくらでもあるんだけど、そんなにお金かけられますかって話なんで、
来るかどうかもわからないリードスで攻撃してくるかポチポチっとやってさ、
1時間何ドルか知らないけどすごい安いお金で攻撃してくるのさ、そのためだけに年間いくらかわからないけどすごいお金を投資できますかって話じゃん。
それはおっしゃる通りだよね。
スピーカー 1
どうなんですかね、リードス関係とかはねぎさんはずっと調べて身近でやられてるじゃないですか、そういう調査をね。
僕とかもちょこちょこ見たりはするけど、一時期よりはあんまり見てなくて、そういうことをちょっと離れたりとかすると、もしくは他のところに重点を置くようになると、
こういう内容とか事情に加えて、製品やサービスがどうなっているのかって、ちょっとやっぱり疎くなるんですよ。
そこでね、まねぎさんもし知ってたら、だいたい肌感覚でこうみたいなのがわかればいいんですけど、
リードス対策製品とかっていうのって、そんなに言うほど値段って変わってないものなんですか?まだ高いままなんですか?
スピーカー 2
以前からってこと?
スピーカー 1
そうそう、なんか連貨版が出たりとかさ、色々選択肢が増えてるのか、色んな事情で上がってんのかみたいな、
スピーカー 2
その辺の状況って全然わからんな最近なって思っています。
いわゆるエンタープライズなっていうか、高価なサービスは依然として変わってない。
ただ安価に使えるサービスとか、例えばクラウドフレアなんかさ、無料で使えるサービスなんかでも結構やってくれたりとか、
セキュリティの現状
スピーカー 2
その選択肢は多分増えてると思う。ただそれって防御する側の選択肢もそれなりに増えてるか、それ以上に攻撃側の方の選択肢っていうか、
安く攻撃できる手段っていうのがもう格段に防御側よりもはるかに攻撃側の方が進んでいるっていう、
そういうアンバランスな、
スピーカー 1
非対称性みたいなやつですね。
スピーカー 2
だから決して、自分たちは直接自分がサービス関わってないからさ、ちょっと一言みたいに言っちゃうけど、
そういうサービスを提供しているところが努力してないわけじゃなくて、
いろいろ頑張って値段も下げようとか頑張ってると思うのね、多分ね。
だし、できるだけ多くの人に防げるようにやっているとは思うけど、
でもやっぱり限度があるよね。
スピーカー 1
そうですよね。しかもユーザーが増えへん。高いから増えへん。増えへんかったら下げられへんっていう面もあるかもしれないしね。
スピーカー 2
だからそこはね、なかなか難しいよね。
スピーカー 1
そんなに言うほどめちゃくちゃ劇的にかんばしくなったかというとそうではない。
スピーカー 2
まあそうではない。だからちょっと話変わるけど、
DDoS攻撃を生み出す元を断ち切ることをなんとかしないといけないかなと思ってて、
元を断たずに防御するサービスを安いよ安いよって売るのもなんかちょっと違うじゃない。
スピーカー 1
しかも安くなってないしあんまり。
スピーカー 2
それよりはサービスが儲かるか儲かんないかの話は一旦置いといて、
スピーカー 1
そもそもそういう別にサービスなんかに頼らなくても攻撃あんまりきませんっていう状況が望ましいわけなんで、
スピーカー 2
だからそもそもそういうインフラっていうかね、
例えばBotだったりあるいは踏み台になるサーバーだったりとかっていうのを減らす努力を続けていくしかないのかなっていうか、
もうここ10年以上ずっとそういうのみんなやってんだけどね、なかなかそれが効果を上げてないっていう感じなので、
そっちはもっと頑張らなきゃなって感じじゃない。
CISAのVDP年次報告
スピーカー 1
根本的なところってことですよね。
スピーカー 2
もちろんサービスのほうもやるとして、そっちばっかりに言っててもねっていう。
スピーカー 1
対象両方じゃダメですもんね。
スピーカー 2
そうそうそういう感じだね。
スピーカー 1
わかりました。ありがとうございます。
ということでそろそろセキュリティのお話をしていこうかなと思ってるんですけれども、
今日はかんごさんからいきましょう。
スピーカー 3
今日は私はですね、CISAが公開されたレポートを紹介したいなと思ってるんですけども、
何のレポートかというと、
Vulnerability Disclosure Policy Platform 2023 Annual Reportっていう内容でして、
VDPっていう風に略されることが多いんですけども、
これってご存知ですかねっていう。
スピーカー 2
どうだろうね、聞いてる人はあんまり知らないかもしれないね。
スピーカー 3
なんかあんまり聞きかけたことないかなと思っていて、
CISAって多分日本だとKEVとかなんですかね。
スピーカー 1
KEVが一番やっぱり知られてるんじゃないですかね。
スピーカー 3
はい、国内でもよく聞くキーワードでありますけど。
スピーカー 2
あとはほら、僕が前にポートキャストでも紹介したRVAとかさ。
スピーカー 1
ああ、確かに確かに。RVAもそうですね。
あとなんかストップランサム系とかかな。
スピーカー 2
そうですね、それくらいは多分ポートキャストで紹介したやつは聞いてる人は知ってるかもしれないけど、
VDPは多分今まで一度も取り上げてないんじゃない。
スピーカー 1
取り上げてないですね。
スピーカー 3
取り上げてないですかね。
VDPって何っていうところを簡単に話すと、
もうそれそのまま脆弱性開示ポリシーっていうものではあるんですが、
これってそもそも何かっていうと、ちょっとだいぶ前なんですけど、
2020年にいわゆる拘束命令ってCISAが出されてるものがあるんですけど、
KEVだと2201ですよね。
スピーカー 1
BODってやつね。
スピーカー 3
はい。VDPに関しても出していて、
BOD2001っていうのを2020年に出してるんですね。
これ何かっていうと、
政府機関において脆弱性、特にインターネットからアクセス可能なシステム、
それについて脆弱性をどう取り扱うかっていうところについて、
方針をしっかり開示してくださいねと。
具体的なテストの手段。
何でもかんでも無差別にテストっていうんですかね、
システムに対して何でもかんでもやっていいっていうものではなくて、
具体的にはこれはやらないでくれとか、
さっきまさにお話のあったDDoS攻撃であるとか、
ソーシャルエンジニアリングとかそういうのはやめてくれというのを書いたりとか、
あるいはそのスコープ、どのシステムを対象とするのかとか、
あと実際に見つけた時にどこに連絡してねっていう報告先であるとか、
簡単に言えばそういったものっていうのをポリシーという形で開示しっかりしていきましょうという
命令というのが出されてまして、
そうは言ってもこれ実際やろうとすると、
なかなかお金の面であるとか体制の面であるとかっていうところが苦労するところはありまして、
2021年にBOD-2001を補完するっていう目的でCISAが
ADPプラットフォームっていうのを立ち上げたんですね。
そのプラットフォーム上で脆弱性の連絡というか調整のやり取りであるとか、
あるいはCISAが運用管理しているので取り味をするとか、
そういったところっていうのを実際にやっているという話ではあるので、
今回はそのレポートっていうのはそのプラットフォーム上で実際にやり取りされている内容を受けて、
CISAが年次の状況っていうのをまとめたものという話ですね。
スピーカー 2
外部の人とかはできるだけ脆弱性の報告をしやすくするようにしましょうっていう、
そういう取り組みってことだよね。
スピーカー 3
そうですね。なかなか報告者視点で見たときに、
今ねぎしさんおっしゃったように報告どこにしたらええねんって話であるとか、
あとは報告してもこれ直してくれるのかなっていうような確信であるとか、
あと一番怖いのは法的な措置。
スピーカー 1
やられましたって言われちゃうっていう。
スピーカー 2
まあその辺のトラブルってよくあるもんね。民間でも多いしね、その辺はね。
スピーカー 3
そうそうそうなんですよ。
BRD2001の中で今言った話って実際に書かれていて、
そういったのをできる限りなくしていきたいという、
そういった目的があってこのポリシー解除しましょうというものではあるんですが、
スピーカー 2
いい取り組みだ。
スピーカー 3
ちょっと話が汚れそうになっちゃうんですけど、
このポリシーのテンプレートもCISA公開していてですね、
この内容って見ていくとですね、
割と、割とというか結構参考になる点が多くて、
なので先ほど民間でもって話あったんですけど、
どの組織においても結構役立つというか考えるべきポイントっていうところが整理されていて、
立場によってはこれ解除してもいいのかなっていうような内容ではあるので。
スピーカー 2
あれか、進んでるところの、
例えばバグバウンティのさ、プログラムとかちゃんと整備して、
報告があったら対応して、
報酬金を払うとかやってるところは結構先進的な企業とかであるけど、
スピーカー 3
そうですね。
スピーカー 2
仮にそこまではなくてもこういうポリシーを公開するだけでもだいぶ違うかもね。
スピーカー 3
いや全然違うと思いますよ。
なのでちょっと参考にしていただいてもいいのかなというふうには思いますね。
で、そのVDPの保管、
保管というかそのBOD2001を保管する目的でCISAが立ち上げたプラットフォーム、
2021年立ち上げなので、
レポートも年次ではあるのでこれ2回目の公開になってですね、
昨年は2023年のちょっと前の8月に公開をされていたので、
今回2回目というところで、
内容的にも、なのでその前回からどれぐらい変わってるかみたいなのが、
割と書かれ方としては目立っているポイントではあったんですが、
ハイライトとしてはCISAは割とこういう書き方多いかなって感じはしなくもないんですけども、
顕著な成功を収めた。
スピーカー 1
言いたいなそれな。
スピーカー 3
このCISAのね、先ほど申し上げたプラットフォームは非常に大成功でしたと。
そういった振り返りから2023年入られていてですね、
いろんな数字が並んではいるんですけども、
参加している、そのプラットフォームに参加している組織としては、
51の機関がこのプログラムに参加をしておられて、
報告されている件数で見ていくとですね、結構多いんですね。
これは12,409件というのが提出はされていて、
実際に修正までたどり着いた件数っていう数字でいくと、
1,991件ということで、そこそこの数ですね。
内容的には、これはあの脆弱性の、
CVEの裁判されている脆弱性の種別とか見ていてもそういう傾向はあるんですけど、
一番多いのはやっぱりクロスサイトスクリプティングがかなり多いというところではあるんですが、
そういった内容というのがプラットフォームを通じて、
実際の機関との間で調整をなされたと、修正までされたというところではあってですね、
非常に増えたという形で報告をしておられてですね。
あ、でごめんなさい。ちょっと私、先ほどトータルの件数で言ってしまったんですけども、
2023年っていう視点で見ていくと、7,000件が、
12,000件のうち7,000件が提出されていて、
修正されたのが1,991件のうち、2023年は872件。
修正はちょっと減ったのかな、だから。
なので提出された数に対して、2023年は前年度で比べると少し減ったという状況ではあるのですが、
ここら辺のちょっと減った理由についてはあまり深くは考察されてはいなかったんですけども。
スピーカー 1
逆にそこを言ってほしいな。確かにね。顕著に言ってほしいな。
スピーカー 3
そうですね。報告が増える理由ってなんとなくわからなくもないんですけど、
先ほどね、バグバウンティーの話されておられましたけど、
やっぱりこういったところのプロセスに進むための支援っていうのもやっているというところであって、
先ほどのプラットフォームのオプションの機能としてあるそうなんですけども、
バグバウンティープログラムの脆弱性の開示に進んだサポートをした期間は2023年は2つあったということで、
実際に支払ったお金とかも書かれてはいるんですけども、
私は脆弱性の保証金界隈っていうのは詳しくないので金額の代償っていうのは何とも言えないんですけども、
支払った金額の総額という形で書かれていた数字は33万5000ドルという形で書かれてはいますね。
229件の脆弱性に対してなのかな。
そこそこの数に対して実際にバグバウンティーのプログラムの立ち上げなんかをサポートしつつ、
そういった形で支援をして、そんなトータルの金額が払われているというところがあって、
先ほど大成功って話が、プラットフォームは大成功だって話はしたんですけども、
そこに関してはやっぱりそのプログラムに参加している機関側の報告受けた内容の取り味の部分ですかね、
そこについては実際に報告受けた時にその点について機関側が苦労しているという話が書かれてはいるので、
バグバウンティプログラムの意義
スピーカー 3
そのプラットフォーム、CISAが立ち上げたVDPのプラットフォームを通じて、
この辺の修正にかかるトータルのコストっていう意味での潜在的な部分としては、
これも結構な金額なんで、推定445万ドルが節約されました、なんてことが書かれてはいまして、
クリティカルっていうことで判別されているのがトータルで書かれているものだと思うんですけども、
442件というのがクリティカルの判定になっているというところではあってですね、
ちょっとそのクリティカルっていうのが具体的にどこまでの影響を及ぼすものかっていうのは、
具体的な説明は書かれてないんですが、
深刻な形ということで取り上げされたものなんだろうなというふうには思いまして、
こういった形で成功と言って、CISAは成功とは言ってはいるんですけども、
こういった状況で取り組みっていうのがある意味、数字として可視化されているのは分かりやすいなというふうには思ったので、
この辺が真似できるというか参考になるところがあればやっていくといいのかなというふうには思いつつ、
ただこれやっぱり一組織でこれをちょっと頑張るっていうのはやっぱりちょっとさっきも言った通り、
体制とか時間とかリソースとかそういったところが課題になってきちゃうので、
やっぱりこの辺は公的な取り組みというか支援団っていうのが日本においても進むといいなっていうふうには。
スピーカー 1
入り口を一個にするみたいなことってこと?
スピーカー 3
そうですね。やっぱりいろんな人がいろんなように、もちろんいろんなやり方があってはいいと思うんですけども、
やっぱりちょっと入りのところが複雑すぎると報告が大変というか、
下手したら報告はちょっと手間だからやめちゃおうっていうふうに考え方が行ってしまう可能性もなくはないかなとは思うので、
この辺がシンプルになっていって、結果的にさっきその報告者の懸念みたいな話はしたんですけども、
そういったところも払拭された形でうまく調整がされていくといいなっていうふうには今回のレポートを読んでも改めて思ったところでした。
スピーカー 2
こういうのなかったら、なくても善意の人がさ、積極的に報告をしてくれることはあるかもしれないけど、
こういうプラットフォーム、プログラムがあるなしで、多分だいぶ違うと思うんで、
大成功かどうかはちょっとよくわかんないけど、ただプラットフォームがない状態に比べて多分明らかに報告件数は増えて、
スピーカー 3
その分脆弱性が見つかって修正される件数が増えたことは間違いない。
スピーカー 2
あとその報告する側もわかんないけどさ、これまで累積で一番報告の多かったリサーチャーの名前とか、
スピーカー 3
今年のトップ3の名前とかさ、書いているわけで、その報奨金をもらえるもらえないはともかくとして名誉っていうか、
スピーカー 2
あとはこういうところに公的な機関としてちゃんと認定されたっていうのは、
その仕事の上の実績としても結構いいんじゃないかなというふうに思ったりするので、
それはその報告する側にもメリットがあるんじゃないかなっていう気がするので、
これはそういう意味ではウィンウィンな取り組みとして非常に良いと思うし、
でもやっぱり単体組織とか民間政府機関とか単体でやるのはちょっとしんどい。
この辺がやっぱりCISAとか、他の国でこういう取り組みやってるのかってあんまり知らないけどさ、
さすがだなっていうかね、こういうのちゃんと政府の取り組みとしてCISAっていう取りまとめの官庁がちゃんと主導してやってるっていうところはやっぱり立派だよね。
スピーカー 3
そうですね、ちゃんとレポートという形でまとめてますし。
スピーカー 1
これ件数増えてる…増えてるがちょっと今年は減ったのかな?
でも結構数じゃないですか、1万2千件、2023年7千件でしたっけ?
スピーカー 3
はい、そうですね。
スピーカー 1
ってあるんですけど、これってあれなんですかね、重複はあんのかな?あんまないのかな?
スピーカー 2
どういうこと?重複って。
スピーカー 3
同じ脆弱性が報告されてるかってことですか?
スピーカー 1
そうそう。
スピーカー 2
別の人からってこと?
うん、そうそうそう。
それはないんじゃないの?最初に報告した人から1件なんじゃないの?
スピーカー 1
そうなのかな?DAS側からするとそれがもう既に報告されてるかどうかって分かるんかなと思って、このプラットフォームだと。
スピーカー 2
あー、報告したら分かるんじゃない?
スピーカー 1
報告する本人が分かるんかな?事前に分かるんかな?分かれへんのかな?
多分分かんないですよね。
スピーカー 2
事前には分かんないでしょ。報告したらそれはもう報告済みですって分かるんじゃないの?
スピーカー 1
その辺の法律の部分と、あとはいっぱい来たら来たら受けてる人たちを捌くのも結構大変なんかなっていうところに陥ってしまわないかなっていう不安はちょっとあるなっていうところでした。
スピーカー 2
これはどれくらい率を押し掛けてやってんだろうね。
分かんないですよね。
スピーカー 1
そうですね。脆弱性の届出とかっていろんな国でやられてますけど、重要度とかも考えて、本来分けてこっちを優先するとかもしなあかんのかなと思うんですけど、
それができずに順番になっていくっていうふうになるとちょっといびつな結果を生んでしまうかもしれないというのはちょっと懸念としてありましたね。
でも取り組みとしてはすごくこういうふうに窓口みたいなのがあったりするのがあるといいなと思いました。
スピーカー 3
そうですね。
スピーカー 1
ありがとうございます。
スピーカー 3
はい。
スピーカー 1
じゃあ次、ネギスさんいきましょう。
スピーカー 2
今週はですね、脆弱性の話をしようと思ってるんですけど、実はちょっと脆弱性の話のフリをして、先週に続いてディードス攻撃の話を。
DDoSを実現するための条件
スピーカー 1
隠れミノにして。
スピーカー 3
それ言わないほうがよかったね。
スピーカー 1
いやいやいいですよ。
スピーカー 2
最初にバラしちゃうけど、何の脆弱性の話かというと、これ先週かな9月の26日にLinuxとかUNIXなんかで広く使われている印刷のシステムでC-UPSっていうのがあるんだけど、
CUPSっていう人もいるのかなちょっとわかんないけど、僕はC-UPSと呼びますけど、ここで4つ脆弱性が見つかって、
その4つの脆弱性を上手いこと組み合わせるとリモートコード実行ができますよっていう、インパクトのある話が出たんですよね。
これ自体も発見者の人がベンダーとの調整で上手くいかなくて、
あとなぜかアメリカのSTARTコーディネーションセンターに発見者が報告したレポートの内容がブリーチフォーラムにリークされちゃったりだとかして、
正式公開前に情報がリークされて、とんでもない下手くそだみたいな変な情報だけが一人歩きしちゃって、
蓋を開けてみたらそこまででもなかったみたいな、そういうドタバタ劇があったんですよね。
これはちょっと今日の本筋じゃないんで、詳しく知りたい人は発見者の人のブログを後で見てもらえばいいと思うんだけど、
今日話したいのは、今週赤前が記事を出してたんだけど、実はこの脆弱性、DDoSに使えるんじゃね?っていう記事を書いてて、
個人的には僕はそっちの方が面白いんで、そっちを紹介しますけども、
そもそも元々のCUPSの脆弱性っていうのは、ざっくりどんな感じだったかっていうと、
CUPSって631番のUDPポートでリスンしてるんだけど、そこに攻撃者が採掘したUDPのパケットを送って、
そうすると、その中に攻撃者が指定したアドレスに対して脆弱性のあるCUPSのサーバーがアクセスをしてファイルを取得するようなことができると。
そこで攻撃側があらかじめ採掘したファイルを置いておいて、それを取ってこさせて、最終的にはその以外の脆弱性もトリガーにして、
エコード実行まで至るっていう、ざっくり簡単に言うとそういうフローなんだけど、赤前が言ってるのは、最初の部分だけ使って、
攻撃側が自分たちのサーバーに誘導するんじゃなくて、攻撃したいターゲットのアドレスを指定したらどうなるの?っていう風に。
一斉に取りに行くようなことをやらせるってことですね。
そうすると、いわゆる踏み台を使ったリフレクション攻撃みたいになるんじゃないかっていう、こういうアイデアなわけね。
で、実際今回のその脆弱性を使うと、UDPのパケットを1個送ると、それに対してそこで示されているアドレスにアクセスに行こうとするんだけど、
TCPで指定されたサーバーにアクセスに行って、リクエストを2つ投げるっていう動作をするわけ。
なので、これがひょっとしたらDDoSに使えるかもしれないなっていう、そういうことなのね。
ただし、DDoS攻撃に使えるためには、僕が思うに大きく条件としては2つ必要で、まず1つは踏み台となるサーバーがたくさんあるってことね。
これは当たり前だよね。サーバーが1台2台しかなかったらDDoSにならないから。まず踏めるやつがいっぱいいるのって話よね。
これに関しては、もともと脆弱性を見つけた人もインターネット上スキャンして、どうもこの631のUDPでスキャンをすると応答返すやつが20万台ぐらい居そうだということは言って。
だったらこれが全部が脆弱ってわけじゃないんだよ。だけどそれぐらいは潜在的に居そうだなっていうことは分かっていて。
今回赤前が自分たちがこれDDoSで使えるんじゃないって言ったんで、めっちゃ検証してスキャンしてみたところ、
確かにUDPのパケットに対してTCPで応答が返ってくるやつっていうのが、20万台全部じゃなかったんだけども、そのうち全体の約34%だから3分の1くらいかな。
5万8千台以上が応答返しますと。これをDDoSに使おうと思った場合のインフラとしては結構イケてるなって感じだよね。
スピーカー 1
十分ですね。
スピーカー 2
こんだけあれば十分だよね。だから条件の1番目はOKでしょうと。
2番目の条件としてはもう一個大事な増幅効果ってやつで、これよくUDPだとUDPのアンプ攻撃なんていう言い方をよくするけども、
例えばDNSとかあとNTPとかかな、そのUDPのリクエストのパケットのサイズに対してその踏み台から返ってくるレスポンスのサイズが10倍とか20倍とかすごく大きなサイズになりますと。
そうするとそれをDDoS攻撃に使った場合にはすごく通信量が多くなるので影響が大きくなるよねっていうそういうことね。
なのでこういう増幅効果って何倍か何十倍かとか一番多いやつだったのはMemcachedとか一番倍くらいのやつだったかな。
スピーカー 1
そうですね。
無限増幅のリスク
スピーカー 2
ちょっとあれは懐かしいよねもはやね。
あれはちょっと例外だけども、それが何倍かっていうのは結構大きなファクターなわけね。
じゃあ今回のやつはどうなんですかっていうのも一番赤前さんが調べてみましたということで。
送る最初のUDPのパケットのサイズも一応その贅沢性を利用できるかできないかで一応制約があって一番小さいサイズだと30バイトぐらい。
で一番大きく詰め詰めに詰め込んだとしても1028バイトまでは行きましたと言ってるのが大体およそ1キロバイトだよね。
この場合に増幅効果としてさっき言ったけどもUDPのパケット1個送るとTCPでリクエストが来て2回リクエストが来るって話なんでそのトータルでデータサイズがどれくらいですかっていうのを調べてみましたと。
そうすると一番小さいサイズの30バイトのデータを送った時には400バイト返ってきますと。
だからまあ10倍ちょっとだよね。
で一番サイズが大きい1028バイト約1キロバイトを送るとどうなるかっていうと約2400バイト返ってきましたと。
こっちは2倍ぐらい。増幅効果としてはそこまでサイズが大きいけど倍率としてはあまり大きくならないっていうそういう結果になりましたと。
そしたら単純計算で小さい時は400バイトのレスポンスに対して大きい時は2400バイトだから大体6倍ぐらいのサイズになってるから増幅率が下がったとしても絶対量としては大きいのでその部分は馬鹿にならないなって感じね。
で話はここで終わらなくてこれだけでも増幅率は数倍2倍から10倍だからまあまあ使えそうになったって感触だけど。
加えてなんか中にはねその今回その58000台を実際にヤカマイさんがいろいろ調べてみたらそのターゲットとなる、実際にはこれ自分たちのアドレスに対してテストしたらしいんだけど
ターゲットのアドレスからのレスポンスが例えば404のノットファウンドとかでそのファイルはありませんっていう音を返すと
スピーカー 1
その踏み台のCUPSサーバー側が何回も何回もリクエストずっと無限に送ってくるやつがある。ループになるんですね。
スピーカー 2
無限増幅っていうかリクエスト一発なかったらもうひたすらずっとレスポンスが返ってくるっていうかそういうやつがあるんだって。これが何か数百台ぐらいあるらしいよね。
DDoS攻撃の脅威
スピーカー 2
これも考慮に入れるとだからその無限のやつってのは増幅率無限大だからさどうやって減らすかわからないから実際はどっか飛ばるんだろうけどそれも考慮するともっともっと大きくなりますと。
これはちょっと特殊なやつだけども58000台のうち全体で見てもおよそ6割くらいは最低でも10回ぐらい再送するんだって。
スピーカー 1
なんでこんなに再送するのかよくわかんないけど実装に多分依存するんだろうね。そういう元々の問題っぽいですね。
スピーカー 2
だからCUPSの古いバージョンとか結構いっぱい使われてるから多分そういう実装依存で何回もエラーで再送するやつとか1回しか送らないやつとか色々あるらしくて平均するとさっきの無限の増幅のやつも含めて全体平均すると58000台の平均で1台あたり45回再送するっていう計算に理論上なるんだって。
理論上ね。さっきの無限のやつがだいぶ平均値を押し上げてる気がするんだけど。
なのでざっくり理論値として理想的な状態で攻撃したら45倍になるわけよ単純にね。
そうするとさっきの増幅率でさらに45倍になるわけ。
でトータルで計算するとどうなるかっていうと最初の30倍との小さいサイズの場合には倍率が600倍になって帰ってくると。
なんかどんどん話が変わってきたな。
で1028倍とか1キロバイトの大きいサイズ送った場合でも約100倍のレスポンスになって帰ってくると。
だからかなりの増幅率だなって感じなのね。
もちろんこれはあくまでも理論値なんで実際にはもうちょっと下がると思うんだけどね。
だけどもしかしたらこれくらいいくかもしれないと。
なんで例えば単純計算で今のサイズが大きいやつで考えてみるとリクエストが1キロバイトでそのレスポンスが100倍でしょ。
単純に100Kだとすると100Kで仮にさっきの5万台のうち1万台ぐらいの踏み台を使って攻撃をすると単純計算でそれだけで1ギガバイトになっちゃうんだよね。
だからこれが単発で1ギガバイトだから単位時間あたりどれくらいできるかわからないけどもそこそこの攻撃努力がありそうだなっていう見積もりとしてはね。
になるのであれこれ意外と脅威じゃないっていう感じに理論的にはなりますねということで。
実際にはこういう話が出てこれ使えるじゃんって例えばDDoSの代行サービスみたいなやつがスキャンをして踏み台になるやつを探して
それをアドレスリストにして自分たちでインフラに組み込んで攻撃に使ってみるみたいなことがもし起きればまた話が違ってきて現実の脅威として
それは認識する必要があるんだけど今のところはまだこれは理論上の話でまだこれを使ったDDoSがありましたっていう話ではないですよと。
だけどもしかしたらこれは比較的早めに攻撃手法も簡単なので意外と早めに観測するかもしれないね。
現実のものとして実際の攻撃で来るってことですね。
CUPSとサーバーの現状
スピーカー 2
近いうちに来るかもしれないわからないけどそういう感じで真ん中なんか知らないけどまた新しい攻撃手法が見えちゃったなっていう感じ。
ただし他のUDPのリフレクションなんかも結構そうだけどそもそもUDPのリフレクションの場合にはUDPのレスポンスが返ってくるから
そもそもそんなにUDPの変なレスポンスの通信なんて普通のサーバーは必要ないはずだからブロックすることもできるし
今回のやつはTCPのリクエストが来るんだけど送られてくるリクエストの中身は割と特徴的なパターンになってて
あとは送信部とかCUPSのサーバーなので、例えばユーザーエージェントだったりとか
いかにもCUPSって感じの特徴的なある分裂が入っているので
スピーカー 1
例えばWAFかなんかでそういうのをあらかじめブロックするとかいう設定をしておけば
スピーカー 2
防ぐのは比較的簡単にできますよっていう感じではあるんだけど
ただこれは来ることが分かっていて事前に想定してた場合なので
いきなり来たらそんなに簡単に防げないのではっていう感じはする
スピーカー 1
知らんところに来たら対処に間こつくかもしれないですね
スピーカー 2
なんか普通にTCPでコネクションを張ってきてポストリクエスト送ってくるっていう感じだと
一般のアクセスとパッと耳開きがつかないのでそのまま受け取っちゃうとまずいんじゃないっていう感じはするね
なんか備えが必要かもしれない
なんかそんな感じでちょっとコード実行の方だけに目が向いてたけど
確かに踏み台として使えばDDoSに使えるなっていうのはちょっと面白いアイデアだなと思って
スピーカー 1
しかしこれそんなそもそもこのサービスが外部に空いとることの方も気になったな
スピーカー 2
本当そうなのよ
こんな空いてんの?
そうなのよ先週この話があった時にいやいやだってこれ印刷サーバーだよだって
スピーカー 1
そうですよ印刷
スピーカー 2
インターネットで晒す必要なくない?
スピーカー 1
ない
なんで空いてるの?
スピーカー 2
そうなんでこんな20万台も30万台も空いてるわけ?わからないよね
スピーカー 1
空いてるのがけしからんというよりもどうやったらこうなるっていうことの方が僕はなんかノウハウとして気になる
スピーカー 2
本当だよだったらね多分だけどLinuxなりUnixのサーバーで最初からこれが入っていて
いわゆるその000のアドレスどのインターフェースからでもリスニングしますみたいな感じになってるのが多分デフォルトの状態っていう
多分古いOSほどそういう感じになってるんだよね
スピーカー 1
まあそうですよね
スピーカー 2
でそれをそのままインターネットに繋いじゃっていてファイアーボロも何もないっていう多分そういう感じだよねきっとね
スピーカー 1
さすがに上流に何かおったらこんなのはならないですよね多分自家繋ぎですよね
スピーカー 2
ちょっと俺ちゃんと調べてないんで適当なこと言って間違ってたら申し訳ないけど
そういう特定の用途で使われる機器にこういうのが入っていて数を押し上げてるのかもしれないけどね
スピーカー 3
それもありそうですね
スピーカー 2
なんか本来は必要ないけどそれこそIoT機器系とかさわからないけどLinuxベースの結構台数が多いやつとかで
なぜかこのデーモンが上がっててみたいなやつっていうのはありえなくはないっちゃありえなくはないけど
俺もちょっとここまで多いとは想像してなかったよね
スピーカー 1
サーバー系として使ってるというよりはさっき言ってたIoTみたいなでもインターネット自家繋ぎ前提のものがこうなってるものが多いかもしれないってことね
スピーカー 2
そうそう必要ないのにサービスとして上がっちゃってますよみたいなのがあるのかもしれないけどね分かんないけど
だって普通に考えたら必要ないもんね
スピーカー 1
いやしそもそもこのサービス自体がもうなくなっても大丈夫だぐらいレガシーなイメージなんですけど
スピーカー 2
まあ昔からだいぶ使えてるからね
スピーカー 1
使ってる人今もおんのか
おるんでしょうけど
スピーカー 2
いるでしょうよそれは
スピーカー 1
いるか
スピーカー 2
それはいると思うよ
スピーカー 1
別のもんにしてくれって思う
スピーカー 2
インターネット上で使う必要はないよね
スピーカー 1
ないないない
スピーカー 2
たぶんね
スピーカー 3
そうですねそこは
スピーカー 2
ただねでもそれを言ったらこの程度そのリフレクションの攻撃で踏み台になっちゃうサービスってほとんどがみんなそういうやつばっかり
スピーカー 1
確かに
SNMPとかもそうですよね
スピーカー 2
そうそうなんでこんなインターネットで空いてんのっていう
スピーカー 1
今そのカップスでしたっけ
そうそうなくなったらええのにって思ったけどよくリードスの代行サービス
ストレッサーとかブーターいわれるやつに出てくるやつで最もこれいらんやろって思うやつ
スピーカー 2
キャラクタージェネレーター
そうねキャラジェネ
エコーとかでしょ
スピーカー 1
エコーもいらん
そうそうそれいらんいらん
キャラクタージェネレーター一番えげつないと思いますよ
ブワー返してくるじゃないですか文字で
スピーカー 2
そうそうそうそう
スピーカー 1
あれいらんあんなのこの世界がなくなってもいいと思ってますから
スピーカー 2
そうそうそうだよねでもあの辺数は減ってはいるけど
ただその減り方っていうのはじわじわ減ってはいるけどたぶんその何
意図的に減らそうと思ってるっていうよりは単純にそのサーバーが止まったとかさ
そういう自然源っていう感じで減ってる感じなんだよね
スピーカー 1
もうその置き換わっていっただけっていう
スピーカー 2
そうそうそう単純にね
いまだにそういう古いレガシーなやつが残ってるっていうかね
ベライゾンのDBIRレポート
スピーカー 2
そういう状況だからさなんかまあいたしかたないって言えないけど
スピーカー 1
そうですね
スピーカー 2
まあそんなに不思議ではないけどね
スピーカー 1
難しいなこれしかも使ってる側は絶対わかってへんわけやし
スピーカー 2
いやそうだよね
スピーカー 1
しかもたいして困ってへんしねこの踏まれてる側っていうのは
スピーカー 2
そうなのよそれが問題だよね
今回の場合どうなるかわからないけど踏み台の側も結構負荷がかかるかもしれないんでわからないけど
ずっとループなんかした日にはそうかもしれない
だけどそれこそねサービスが落ちて影響がなんか出なきゃ気づかないよねきっとね
そうですね
それが厄介なのは踏み台のなる側はあんまり直接的には影響がないっていうのが問題かもしれないんだけどね
スピーカー 1
自覚症状もあんまなさそうなのも多いですしね
スピーカー 2
ちょっとそんな状況でしたっていう
なんかちょっと新しい切り口というかそういう見方あんのかっていうのはね興味深かったですね
スピーカー 3
ちなみに20万台はもちろん世界中だとは思うんですけど日本もやっぱりある
まあそこそこいるんじゃない
スピーカー 2
こういうのってあんまり国におる方より結構あるやつもあるもんな
製品とかが絡むとそうかもしれない
特定の国でよく使われてる製品とかねそういうのあるけど
スピーカー 1
こんなネガシーというかなんでそんなことなってんねみたいなやつに迷惑をかけられた日にはもう
能動的に無害化したのかという気持ちになる
スピーカー 2
もうちょっとわかるなっていう気もしましたこういうの見て今聞いてて
スピーカー 1
なんとかしたいけどねこういうのね
ありがとうございます
じゃあ最後は僕からなんですけれども
今日僕紹介するのは春過ぎぐらいに多分英語版のやつが出てた
5月ぐらいかなベライゾンのDBIRっていう
スピーカー 2
毎年出てるやつですね
スピーカー 1
データ漏洩侵害調査報告書って言われる日本語にするとね
言うてるやつが出てて多分夏ぐらいに日本語が出てたのかな
出てたことはねぎさんから話したりとかして知ってたわけなんですけれども
たまたま記事で紹介されてるのが最近あって
スピーカー 2
読んでないちゃんと読んでなかったと思って読んでみたっていう
そういうことあるよね俺もよくあるよ
優先順位があるんでねやっぱり
スピーカー 1
読むの忘れてたみたいな
スピーカー 2
つんどくのデジタル版みたいなことするじゃないですか
スピーカー 3
よくありますよ
スピーカー 1
そうなんですよ
ちなみにこのレポートはサインアップとかしなくても読めるっていう
良心仕様になってます
これはベライゾンが得た情報から
攻撃者がどんないるんだとか攻撃者の手口とか
攻撃のこととかターゲットですね
どんな業種がこんな業種はこうでしたとか
特化した17回目らしいですねレポート
スピーカー 2
そうだよねだいぶ新世代だよこれ
スピーカー 1
だからセキュリティレポート会の中ではかなり重鎮になるんじゃないかな
スピーカー 3
そうですね
スピーカー 1
ちなみに今回こういう数重ねてるからなのか
このベライゾンっていう会社がそうなのかわからないですけど
スピーカー 2
表紙がちょっとおしゃれでしたね今回ね
スピーカー 1
ドアの扉が隙間から光が差し込んでる絵なんですけど
スピーカー 2
その情報いる?
いるこれ結構大事
スピーカー 1
その内容は自分で見ていただければいいかなと思うんですけど
おしゃれな表紙でしたというところがありまして
コロナレポートって毎年11月の1日から10月の31日っていう範囲になってるんで
今回は22年の11月1日から
2023年の10月31日が対象範囲になってて
国に関しては94カ国
セキュリティインシデントの件数に関しては
3458件のインシデントを分析した結果というのを
90何ページにわたって書いてくれてるかなりボリューミーな
スピーカー 2
そうなんだよね
新入経路の分析
スピーカー 1
読み応えのあるというか途中で疲れるというかね
そんなレポートになっているわけなんですけども
その中で僕は気になったところとか
自分の関心事の部分とかをつまみながらお話をしていこうかなと思うんですけど
新入経路の分析ってのはここはもう本当に外せないポイントなんですけど
僕としても
6963件のうち何々が何パーセントでしたみたいなグラフが書かれてて
やっぱり認証情報が一番多いんですよね
40パーセント
ネギスさんが紹介してたレポート
スピーカー 3
RVA
スピーカー 1
略称いっぱい考えて何が何かわかんない
RVA
いわゆる有効なアカウントみたいな
スピーカー 2
バリットアカウントね
スピーカー 1
これも40パーセント弱ぐらいなんですけど
ただちょっと下がってきてるんですよね
40とは多いとはボリュームゾーンとはいえ
それに引き続くのはフィッシングで
これ15パーセントぐらいなんですけど
ほぼ横ばいになってるんです
脆弱性の悪用っていうのが
2023年から比べるとかなり増えていて
パイ自体は15パーセントではあるんですけども
ほぼ3倍
前年比較ほぼ3倍の180パーセントですか
ぐらいになってるという風なもので
ここはちょっと気になるポイントやなっていう風に紹介されていました
ただ単に悪用できる脆弱性は
この世の中で増えたっていう風なことではなくて
このインシデントの数の中では
ムービットトランスファーのゼロで
スピーカー 2
だった脆弱性あるじゃないですか
スピーカー 1
クロップとかが使わせたやつね
2023-34-362っていうやつが
かなり広く使われたっていうのが
スピーカー 2
これを押し上げている要因になってるっていう風に書いてました
スピーカー 1
結構件数多かったもんねやられたところで
実際の件数はCISAが8000件以上みたいな
帰ってきてからの悟空の戦闘力ぐらいの量みたいな感じの
スピーカー 2
その名前いらないよね
そうですよね
スピーカー 1
ちょいちょい入れてしまう
ごめんなさい言ってしまうんですけど
結構件数実際の事故の件数は多いなということですけど
僕が見ている範囲だと
先ほどクロップのリーク数っていう風なので見ると
2023年6月7月この2ヶ月で
ほぼこのムービットトランスファーの脆弱性と思われるものでの
リークがあったんですけど
当時のロックビットのリーク件数を2ヶ月連続で抜くっていう
スピーカー 2
そうかそうかそうなったね
スピーカー 1
そうなんですよね
かなり大きな数リークがあったってことは
被害数もかなり大きいんだろうってことが考えられるなっていう風なものが
この脆弱性の割合を押し上げた原因ですという風なことが書かれてありました
逆にそれ以外はそんなに変わってないっていう
なるほど
ところなんですよね
サプライチェーンと脆弱性管理
スピーカー 1
侵入の経路に関してはこんな感じで
あとは漏洩とか侵害が起きたときに
何が関与しているかっていう風なことを紹介しているものがあって
人的要素だとかランサムまたは脅迫が関係するとか
ヒューマンエラーみたいな
エラーが何々がありますみたいな
いろんな項目があるんですけど
一番多かったのはやっぱ人的要素っていうものが
相変わらずずっと8割とか7割8割ぐらいを横ばいで
進んでてこれが一番多いというところでしたね
文章の中にも人間だものみたいなこと書いてありましたけれども
まさにそうかなっていう感じはしましたね
スピーカー 2
結構設定ミスとかいろいろな作業ミスとか
そういうのは繋がりかからないもんね
そうですね
スピーカー 1
やっぱなんかこう我々もよく言いますけど
いろんなレポートを見ているときに脆弱性がどうだとか気にするけども
やっぱりこういう昔からあるものが根強く残ってるっていうのは
見落としがちになる分
意識しなあかんなっていうのは思いましたね
今回から集計の仕方が変わったところっていうのがあって
そこ僕も結構見てて気になったんですけども
サードパーティーが関与する侵害っていう風なものがあって
こういうものがこのベライゾン自身も
ちょっとこれの概念自体を広げて考えないといけないんじゃないかみたいな
ことから集計の仕方を変えましたみたいなものがあってですね
パートナー企業パートナー組織のインフラが影響を受ける場合とか
直接的にもそうですし間接的にソフトウェアにおけるサプライチェーン問題みたいなものも
結構顕著に出てきているかなと
スピーカー 2
はいはいなるほど
スピーカー 1
例えば3CXみたいな例とかね
スピーカー 2
アップデート例入ってきちゃうとか
スピーカー 1
そうそうそうそうそう
そういうの他にもいろいろあると
ソーラーウィンズとかもそうですよね
あったと思うんですけど
そういうようなものも視野に入れていかないといけないということで
集計の仕方が変わったのでちょっとパーセンテージが増えて
前年比68%増ということで
スピーカー 2
なるほど
スピーカー 1
15%に達したということで増えているんですね
ただカウントの仕方を変えて
あれもこれもちょっと入れるとこうってなってるから
増えてるっていうのもあるのかなっていう気はするんですけれども
確かに僕もいろいろ見てるとサプライチェーンって呼べそうなもの
いろんなものもハードウェア関係するようなものもねあったりしますけれども
これちょっと注目していきたいなっていうのを以前から思ってて
最近ねほら看護さんもよく言ってた
続くなーみたいなのをおっしゃってましたけど伊勢東田とかね
総合会計事務所とか
最近は物理で影響あったものやと貫通でしたっけ
出荷が遅れちゃいましたみたいな
あれもねITインフラがやられた結果物理に影響するみたいな
いわゆるサプライチェーンとサプライチェーンじゃないですか
あの辺ちょっと気になってたんで
これそういうところの見方もしとかなあかんねえなっていうのがあったんで
ということでこのサプライチェーンのところは
集計の仕方が変わったっていうのは大きなポイントかなと思いました
脆弱性の悪用とその影響
スピーカー 1
これちょっとね僕も本当は気にしてるんでね
喋る宛もないのに資料作ろうかなみたいなぐらい気になってますね
スピーカー 2
まあでもだいたいそういうのってさ
準備しとくとどっかで喋る機会が絶対来る
スピーカー 1
そうそうそうそう
でも気をつけなあかんのはね
作ったからどっかで喋りたい気持ちになるっていうのはちょっと避けなあかんなっていうのはありますね
スピーカー 2
いやいいんじゃない?別に
スピーカー 1
いいんですかね
スピーカー 2
大事なことだからまとめてるわけで
ぜひどっかで発表の機会を作ろうってなるのは別に悪くないんじゃないですか
スピーカー 1
分かりましたじゃあ11月か12月ぐらいどっかで喋ろうかな
まあそんな感じでちょっと気にしてますっていうところですね
であと一個ですね気になったところが脆弱性の悪用に関する話ですね
やっぱ人の話大事と言いつつもやっぱここはどうしても気になるということで
KEVに登録されている脆弱性がパッチ公開されてから適用されるまでがどんだけの期間かっていうのをグラフに出してくれてるんですよね
でこれはなんかそのKEVの脆弱性生存分析っていうのが名前ついてましたけれども
まあこれただKEVに載っているものっていう縛りなんで
KEVって掲載前にパッチが出てるものもあるじゃないですか
遡ってねあの例えば最近でも2010何年のやつとかが載ったりするから
ちょっとその辺はこう掲載までに実際のパッチが出てから1年以上開くようなケースもあるので
ちょっと見方は気をつけないといけないかなっていう気はするんですけど
この中で見ていくとねパッチが出てから30日経って修正されてない割合というのが85%修正されてないんですって
で55日これ55日の切り口ってのは多分半分になってるかと思うんですけど
50%になればね55日ぐらいかかってるんですね
でグイグイっといって365日まで見ると
365日経っても8%はやっぱ治ってないっていう風なものでした
でこのレポートの集計期間のところの間のKEVの出てる数を見てみたんですよ
2022年と2023年のものに絞ったらですね
177件この期間にリリースでてて
22年23年絞ると130件あったので
さっきの85%の1年単位で見ると110件ぐらいはやっぱり修正されないっていう風な計算になるかなっていうところですね
でこれその30日経って85%修正されてないっていうのは多いと感じるか少ないと感じるか
これ人それぞれかと思うんですけど
このレポートの注意書きの中にはですね
この統計の対象組織っていうのは少なくとも脆弱性管理ベンダーを雇うだけのリソースのある企業であることは忘れるなと書いてましたね
なのでもうちょっと広げてみると世界で見るともっともっとひどい結果なんじゃなかろうかみたいなことを匂わすようなことが書かれてありましたね
ただまあこのパッチがその出てから当てるまでっていう指標ももちろん大事かなとは僕は思うんですけど
冒頭でも言ったようにこの登録されるのとパッチが出るのって前後するから
なんか測りにくいなっていう風には感じましたこのグラフは
どっちかというと以前ネギスさんでしたっけ紹介されてたアナリシスオブタイムトゥエクスプレートトレンズっていうレポート紹介してましたよねマンディアントのやつね
あれだったら悪用っていう風なものがあって悪用された前どんな結果があったかの指標があるんで
あっちの方がなんかちょっと扱いやすいかなって気はしましたね
あれだとその1ヶ月以内に悪用されたやつっていうのはND93件のうち29件なので3割ぐらいっていう風なものがあったんで
あのレポートも確か去年今頃出てたと思うんですよね9月の末ぐらいに
2021、2022ってやつがだから多分これも今年のやつそろそろ出るからこれが出たら見比べてみてもおもろいかなっていう
スピーカー 2
確かにね
スピーカー 1
ちょっと楽しみやなこのレポートが出るのこっち側のも楽しみかなっていう風に思いながら読んでいました
このレポートではですね脆弱性の対処っていうのはこんだけやっぱこう時間がかかる
なのでスキャンしてても間に合わんみたいなことが書いてあってですね
ほなどないすんねみたいなことを書いてるんかなと思って見たらめちゃめちゃ辛辣なことが書いてあって
どっかで聞いたことあるなーっていうことが書いてあったんですけれども
企業は採用したソフトウェアベンダーに自社製品のセキュリティの結果について責任を負わせるべきですみたいな
これなんかどっかの長官が言ってましたよね
看護さんが紹介してたから
いやそれはそうやねんけど
いやそれ言うても治れへんもんしゃーないんちゃうみたいな感じだけど
こういう風な結論になってしまうのかなっていうのは
なんか気持ちはわからんでもないなとは思いつつも
ただやっぱりさっきのネギスさんのDDoSの話じゃないですけど
必要なレポートもまだまだ空いてるじゃないですか
使ってないアカウントがまだまだ残ってたりするものもあるんで
まだまだ見直しの余地があるんじゃないかなとか
パッチ適用するまでの猶予を得られるような無駄な設定が行われていないかの見直しとかね
そういったものにちょっともうちょっと僕はフォーカスを当てて
これからも話していきたいなーなんていうことはこのレポートを読んでて思いましたね
スピーカー 2
なるほどね
さっきの長官の話とか今回の話じゃないけどさ
確かに今KVだやれKVだというか脆弱性管理のサービス側とかさ
盛んにいろいろやっててある意味大盛況だけど
僕らも結構そういうのが大事とかってセミナーで喋ったりしてるけどさ
ぶっちゃけああいうのでセキュリティベンダーは潤うかもしれないけど
企業のセキュリティ課題
スピーカー 2
企業とか対応する側は疲弊するばっかりでさ
脆弱性の件数は増えるうなぎ登りで増えていく一方だし
正直やってらんないよねこんなのね
だからそもそも提供するベンダーがセキュアに作るべきっていう話は本当最もで
そうでもしないとそれを各企業とかの責任でやらせるっていうのが土台間違ってると言われてれば間違ってるんだろうな
スピーカー 1
不健全な状態が続いている感じはしなくはないですよね
スピーカー 2
ちゃんとできるところは一握りじゃない
それは言ったら言い過ぎかもしれないけど
そんなリソースもないとか一人上出でやってるような規模のところだったらさ
こんな無理じゃん
スピーカー 1
あれもこれもねしかもどんどん新しいものでできてね
スピーカー 2
だからさっきのサプライチェーンじゃないけど業務委託先に丸投げしちゃって
被害をこう持っちゃったりとかするわけじゃない
自分たちではどうしようもないからもう任せとこう専門家で任せとこうって言ったら
その専門家がやらかしちゃうみたいなさ
そんな感じなわけじゃないようするに言ってみればさ
スピーカー 3
そうですね
スピーカー 2
でねそこに業務委託してる会社が全部の沖縄みんな影響を受けちゃうみたいなさ
本末全通なことになってるわけじゃない
本来であればその任されたところがセキュアにしておけばみんな守れてるわけなのに
逆のことが起きてるわけじゃん
厳しいことを言えばそういうことでるわけでしょ
そういう状況はだからもうそもそもやってる前提が無理なんだよな
業務委託の影響
スピーカー 1
いわゆるデスマーチみたいなところというかね
スピーカー 2
あらかじめ負けることが分かってる戦いをやらされてるような感じはなんとなくあるよね
ゲームの設定自体を変えないと勝てないよねっていう感覚はない?
そういう感じはする
スピーカー 1
確かに確かに
スピーカー 2
いろいろ話していってもこういうことを大事ですとかみんながこういうのを意識しなければとか
ほらよくセキュリティは専門家だけでなくみんなでやるものみたいなことを言うわけだけど
無理なこと言ってるよね無茶だよね
スピーカー 1
確かに確かにそうですね
まして中傷とかになってくるとそもそもなんもできへんみたいなところもあるっちゃあるんで
どうしようもないっていうのはやっぱりインターネット使わざるを得へん世界になったっていうところもあるんでしょうね
急に大海原に放り出されたじゃないですけど
スピーカー 2
そういう環境の急激な変化に対応できることできないと差が広がっちゃったっていう面もある
スピーカー 1
本気で保護するってなったら根本から変えるような施策を打たないと無理かなと思うときも僕もありますね
スピーカー 2
ちょっとリード数の話じゃないけど対象両方じゃなくて根本がみたいな話とパン本質的なにててさ
例えば僕が結構専門でやってる iot とかの危機だったらそもそもセキュアじゃない製品が売れないように厳しくしてきてるわけじゃない
こういうルールにのっとってない製品は売っちゃいかみたいなことを言ってきてるってまあそういうのは多分そういうことだよね
あとまあその民間でもねその製品を常に自動的に最新の状態にするようにっていう仕組みを入れることで
消費者にはそういう負担をさせないみたいなさ
全体的にはそういう方向だよね多分ね
今後の対策と提案
スピーカー 2
そう考えてみるとやっぱりあれだなそのCI制の調査が良いということは正しいのかもしれないな
スピーカー 1
確かに根本的なっていう意味ですからね
スピーカー 2
本当に悪いのはお前らだみたいな
スピーカー 1
言われてもどうしようもなれへん問題もありつつも
まだ僕はちょっとねあがきたいなっていうところもありますけどね
スピーカー 2
こういうレポートはそういう現状を改めて認識するのには必要っていうかね
まだまだそういう根本の対処にまでは至ってないなっていうところだから
仕方ないけどちょっと無理ゲーだけど頑張るしかないかっていうね
あがくしかないかっていう
スピーカー 1
そうそう現状を知るっていうことも大事やし
答えがないって分かってても答えがないことに悩んでるってことは
スピーカー 2
知っとかんとあかんかなって思う
スピーカー 1
悩み続けなあかんことっていうのもあるんやなっていうのは
こういうレポートを読むと毎回どっかのポイントで思うことは多いですね
スピーカー 2
そうですね
スピーカー 1
まあ頑張りましょうということでございます
スピーカー 2
そうですね前向きに行きましょう
スピーカー 1
前向きに行っていこうということですね
スピーカー 2
はいそんな感じでございますありがとうございます
スピーカー 1
はいということで今日もセキュリティのお話を3つしてきたんですけれども
今日は最後におすすめをまた紹介しますよ
今日はですねちょっとおつまみ系です
スピーカー 2
ちょいちょいあるよねおつまみ系ね
スピーカー 1
そうそう僕は子供の頃からお酒を飲めない年の時から
おつまみ系がずっと好きなんですよもともとこういう味の濃いやつがね
でこれねあれを聞いてますっていう人におすすめいただきまして
たまたましかも僕の所属組織の方なんですけど
出張は普段東京にいらっしゃらない方なんですよね
その人がこっちに来られた時にちょっと僕と打ち合わせがあって
初めてお会いしたんですけど顔を合わせたのは初めてなんですけど
その時にこれよかったらおいしいんで食べて
おいしかったらあれで紹介してくださいよ
実はあれ勢なんですって言われて
いただいて食べたらおいしかったので今日紹介してるんですけど
株式会社千里東っていう会社のやつなんですけど
名前がですねうずたまらんっていう名前の
スピーカー 1
これうずたまらんだけ言うからわからんのですけど
これもともとここの会社の主力製品っていうのがあるんですよ
スピーカー 2
それの派生製品やからちょっと名前がピンとこんのやと思うんですけど
スピーカー 1
卵ってこと?
そうそうそうそう
スピーカー 2
元々の主力製品っていう名前がもうたまらんっていう
スピーカー 1
ダジャレじゃねえかよ
スピーカー 3
そうなっていくんですよ多分こういうのは
スピーカー 2
好きですよね
スピーカー 1
もうたまらんとかうずたまらんとか
スピーカー 2
なんか前レタスとかそういう紹介してましたよね
スピーカー 1
前なんだっけあったよね
前にもあったよねそういうのね
おいしい名の名がなっぱの名になってるみたいなやつ
スピーカー 2
それのうずらバージョンなんですよ
スピーカー 1
なるほどうずたまらんね
スピーカー 2
もうたまらんの味付けのやつをうずらでやりましたっていうバージョン
スピーカー 1
なるほどなるほどようやく合点がいきました
スピーカー 2
なんとなく見えてきました
スピーカー 1
見えてきましたね
それの2つ味があって
粗挽きガーリック味とハバネロ入り唐辛子味っていうやつがあって
パックに入ってて180日ぐらい保存が効きますみたいなやつなんです
両方本当にピリッとする感じのやつで
お酒飲む人でも飲まへん人でもちょっとおやつにみたいなんで
味のしっかりしたやつ食べたい時にめっちゃええんちゃうかなと思って
多分僕は食べてないですけどさっき言った
スピーカー 2
もうたまらんの方はでかいんですよやっぱ卵が
まあまあそりゃそうだろうな
スピーカー 1
そうですよね
ちょっと食べるにはなっていう感じがするんで
つまむにはこっちの方が向いてるかなと思って
食べてめちゃめちゃ美味しかったので紹介しました
通販もねやってますね
5袋ずつセットで10袋で2200円
そんなめちゃめちゃ高いって感じではないかな
これ基本webで全部買えるんですけどむちゃくちゃ種類あるんですよ
スピーカー 2
全部たまらんシリーズ
スピーカー 1
全部たまらんシリーズですね
なんかねでもねちょっと名前が変化してるのもあるんですよ
あのねもうたまらんっていうのもあったり
一度食べたらもうたまらんもあるんですよ
スピーカー 2
同じじゃねえかよ
スピーカー 1
結局いろいろやってきた結果
ちっちゃいのもあってもええんちゃうかっていう中で
スピーカー 3
うずたまらんで無理が出たんですよネーミングにね
スピーカー 1
うずたまらんって全く意味わからないですよ
最初僕もそれだけ渡されたから何やこれって思って
スピーカー 2
調べて初めて気づいたんですよ
もうたまらんの方がわかりやすいよな
スピーカー 1
わかりやすいわかりやすい
ちなみにもうたまらんのらんは卵っていう字ですかね
スピーカー 3
わかりますよそれぐらい
スピーカー 1
ここまで言っててわかってなかったらやばいなと思って
もしよかったら興味ある方はね
どっかアンテナショップとかで売ってるかもしれないですけど
スピーカー 2
そうなんだなるほどね
スピーカー 1
興味ある方は通販していただいてもいいんじゃないかな
というふうに思いました
スピーカー 2
ありがとうございます
スピーカー 1
あれでしたっけ
スピーカー 2
次回はお休みなんでしたっけ
湯沢だからね直後だからね
スピーカー 1
お休みですね
スピーカー 3
湯沢は流石に公開収録じゃないですか
スピーカー 1
むしろ非公開の場です
スピーカー 3
なるほどなるほどそうでしたか失礼しました
スピーカー 1
だからちょっとその次の週も
スピーカー 2
そうだね間がちょっと空くかもしれないね
スピーカー 1
そうそうだから2週間ちょっと空いちゃうんで
スピーカー 2
どうせ間空いてもなんかやってるでしょ君らは
スピーカー 1
なんかやってる
スピーカー 2
そうそうそうそう
君らはなんかやってるでしょいつも
スピーカー 1
やっぱりそういう
そう考えたらあれですよね
よくできた名前だと思いません
スピーカー 2
何が
スピーカー 1
そんな空いたところにスペースってことでしょ
スピーカー 2
そうだね上手く埋めていく
スピーカー 1
そうそうそうそう
多分私とカンゴさんがなんか雑談をする
スピーカー 2
ちょっともしかしたらポッドキャストの配信は
1,2週間かかるかもしれませんね
スピーカー 1
そうですね2週間空いてスペースどっかでやる
でやる時はちょっとできれば告知とかを
Xの方でするんで
よかったらお時間おかたは参加いただければな
と思います
はいじゃあそんな感じでまた次回のお楽しみです
バイバイ
バイバーイ
01:12:34
コメント
スクロール